Fuente base de datos: Wordfence Intelligence

B Slider- Gutenberg Slider Block for WP <= 1.1.23 - Authenticated (Contributor+) Private Post Disclosure via bsb-slider Shortcode

PLUGIN MEDIUM CVE-2024-13514

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación de publicaciones privadas en el plugin B Slider para WordPress, que afecta a las versiones hasta la 1.1.23. Esta vulnerabilidad tiene una severidad media y puede ser explotada por usuarios autenticados con rol de colaborador o superior.

Contexto técnico

La vulnerabilidad se encuentra en el shortcode 'bsb-slider', que permite a los usuarios autenticados acceder a publicaciones privadas, lo que no debería ser posible. Esto se debe a una falta de control adecuado sobre las capacidades de acceso, lo que amplía la superficie de ataque para usuarios no autorizados.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a usuarios no autorizados acceder a contenido sensible, lo que podría comprometer la privacidad de la información y dañar la reputación del negocio. Además, podría dar lugar a una pérdida de confianza por parte de los usuarios y clientes.

Vector de explotación

Generalmente, la explotación se realiza mediante el uso del shortcode 'bsb-slider' por parte de un usuario autenticado que tiene permisos de colaborador o superiores, lo que les permite acceder a publicaciones que deberían mantenerse privadas.

Mitigación recomendada

Se recomienda actualizar el plugin B Slider a la versión 1.1.24 o superior. Además, se sugiere revisar los permisos de los usuarios y aplicar políticas de control de acceso más estrictas para evitar accesos no autorizados a contenido sensible.

Señales de detección

Se pueden detectar intentos de explotación mediante registros de acceso que muestren solicitudes inusuales al shortcode 'bsb-slider' por parte de usuarios con permisos de colaborador o superiores. También se deben monitorizar cambios en las publicaciones privadas.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin B Slider hasta la 1.1.23. Se recomienda a los administradores de sitios que utilicen este plugin verificar su versión y aplicar las actualizaciones necesarias.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

b-slider

B Slider <= 2.0.6 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

b-slider

B Slider <= 1.1.30 - Missing Authorization

MEDIUM PLUGIN

b-slider

B Slider - Gutenberg Slider Block for WP <= 2.0.0 - Authenticated (Subscriber+) Sensitive Information Exposure

MEDIUM PLUGIN

b-slider

B Slider - Gutenberg Slider Block for WP <= 2.0.0 - Authenticated (Subscriber+) Server-Side Request Forgery

HIGH PLUGIN

b-slider

B Slider- Gutenberg Slider Block for WP <= 1.1.30 - Authenticated (Subscriber+) Missing Authorization to Arbitrary Plugin Installation

MEDIUM PLUGIN

b-slider

B Slider - Slider for your block editor <= 1.1.12 - Authenticated (Contributor+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto